Wat is risicobehandeling in ISO 27001?
Overzicht
Risicobehandeling (Risk Treatment) is het proces van het selecteren en implementeren van opties om informatiebeveiligingsrisico's aan te pakken die zijn geïdentificeerd tijdens de risicobeoordeling. Het is een verplichte vereiste in ISO 27001:2022 (clausule 6.1.3 en clausule 8.3) die de brug slaat tussen risicobeoordeling en de praktische implementatie van beveiligingsmaatregelen.
Risicobehandeling zet uw bevindingen uit de risicobeoordeling om in actiegerichte besluiten over hoe elk geïdentificeerd risico moet worden afgehandeld via vier gestandaardiseerde benaderingen.
Risicobehandeling in de praktijk
Na het voltooien van een risicobeoordeling moet u beslissen hoe u elk risico aanpakt op basis van de risicobereidheid en middelen van uw organisatie. ISO 27001:2022 vereist dat u:
Passende risicobehandelingsopties selecteert voor elk geïdentificeerd risico
De noodzakelijke beheersmaatregelen bepaalt om de gekozen opties te implementeren (meestal uit Annex A)
Geselecteerde beheersmaatregelen vergelijkt met Annex A en eventuele uitsluitingen rechtvaardigt
Besluiten documenteert in een Risicobehandelingsplan
Goedkeuring verkrijgt van risico-eigenaren
Risicobehandeling moet worden gedocumenteerd in uw Verklaring van Toepasselijkheid (VvT/SoA), waarin staat welke Annex A-beheersmaatregelen u hebt geselecteerd en waarom.
De vier opties voor risicobehandeling
ISO 27001:2022 biedt vier gestandaardiseerde benaderingen voor het omgaan met risico's:
1. Risicomodificatie (Mitigatie)
Beveiligingsmaatregelen toepassen om het risico te verlagen tot een acceptabel niveau. Dit is de meest gebruikte benadering en omvat het implementeren van Annex A-beheersmaatregelen.
Voorbeeld: Implementeer toegangsbeheer (A.5.15) en versleuteling (A.8.24) om het risico op ongeoorloofde toegang tot gegevens te verminderen.
2. Risicovermijding
Het risico elimineren door te stoppen met de activiteit die het risico veroorzaakt.
Voorbeeld: Stoppen met het gebruik van een kwetsbaar verouderd systeem door over te stappen naar een veilig cloudplatform.
3. Risicodeling (Overdracht)
Het risico delen met een andere partij, meestal via verzekeringen of outsourcingcontracten.
Voorbeeld: Een cyberverzekering afsluiten of een managed security service provider inschakelen voor dreigingsmonitoring.
4. Risicoretentie (Acceptatie)
Het risico accepteren wanneer het binnen uw acceptatiecriteria valt en de kosten voor behandeling de potentiële impact overstijgen.
Voorbeeld: Het lage risico op fysieke diefstal in een beveiligd kantoorpand met bestaande maatregelen accepteren.
Risico-acceptatie vereist gedocumenteerde goedkeuring van risico-eigenaren en moet in lijn zijn met de risico-acceptatiecriteria van uw organisatie zoals gedefinieerd in clausule 6.1.2.
Risicobehandelingsplan
Uw Risicobehandelingsplan is een verplicht document (clausule 6.1.3) waarin staat:
De gekozen risicobehandelingsopties voor elk risico
Welke beheersmaatregelen worden geïmplementeerd en waarom
Verantwoordelijkheden voor implementatie en tijdlijnen
Benodigde middelen
Hoe de effectiviteit wordt gemeten
Verbinding met Annex A-beheersmaatregelen
Risicobehandeling bepaalt direct welke van de 93 Annex A-beheersmaatregelen u implementeert. Uw SoA moet aantonen:
Maatregelen die zijn geselecteerd op basis van besluiten over risicobehandeling
Maatregelen die al zijn geïmplementeerd
Rechtvaardiging voor het uitsluiten van Annex A-beheersmaatregelen
Gebruik ISMS-copilot om opties voor risicobehandeling te genereren voor specifieke scenario's of maak een aangepast Risicobehandelingsplan op basis van uw beoordelingsbevindingen.
Gerelateerde termen
Risicobeoordeling – Gaat vooraf aan risicobehandeling in de ISMS-levenscyclus
Verklaring van Toepasselijkheid (SoA) – Documenteert uw besluiten over risicobehandeling
Annex A-beheersmaatregelen – De 93 maatregelen die worden gebruikt voor risicomodificatie
Beheersmaatregel – Individuele maatregelen die het risico wijzigen